Home » Fachbeiträge » Security Management » Was die EU-Verordnung von Unternehmen mit vernetzten Produkten verlangt

Cyber Resilience Act: Was die EU-Verordnung von Unternehmen mit vernetzten Produkten verlangt

Mit dem Cyber Resilience Act (CRA) hat die Europäische Union erstmals eine unmittelbar geltende Verordnung geschaffen, die EU-weit einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Auch wenn der CRA erst ab Dezember 2027 vollständig anwendbar ist, sollten Unternehmen die Anforderungen früh einplanen – besonders, wenn sie vernetzte Produkte entwickeln, einkaufen oder in der EU vertreiben.

·

Redaktion IT-SICHERHEIT (cs)

7 Min. Lesezeit
Justizia-Statue
Foto: ©AdobeStock/Bruno-Mazzetti

Der Cyber Resilience Act (CRA) ist seit dem 10. Dezember 2024 in Kraft und gilt als EU-Verordnung unmittelbar in allen Mitgliedstaaten – ein nationales Umsetzungsgesetz ist nicht nötig. Die Pflichten greifen allerdings stufenweise, wobei für Unternehmen zwei Fristen entscheidend sind: Ab September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle melden – Prozesse, Zuständigkeiten und Meldewege sollten bis dahin stehen.

Ab Dezember 2027 gilt der CRA dann vollständig: Produkte mit digitalen Elementen dürfen nur noch in Verkehr gebracht werden, wenn sie sämtliche Anforderungen der Verordnung erfüllen. Nicht konforme Produkte dürfen dann auch nicht mehr weiterverkauft werden.

Wer Melde- und Updateprozesse frühzeitig aufsetzt und die CRA-Anforderungen in Entwicklung sowie Beschaffung verankert, spart sich später aufwendige und teure Nacharbeiten. Konkret bedeutet das: Unternehmen sollten jetzt klären, welche ihrer Produkte unter die Verordnung fallen, welche Rolle sie in der Lieferkette einnehmen und welche Nachweise sie künftig erbringen müssen.

Wer und was ist betroffen?

Ob und wie der CRA ein Unternehmen betrifft, hängt maßgeblich von seiner Rolle in der Lieferkette ab. Die Verordnung unterscheidet dabei insbesondere:

  • Hersteller: Person, die Produkte mit digitalen Elementen entwickelt oder herstellt, konzipiert oder entwickeln beziehungsweise herstellen lässt und sie unter eigenem Namen oder eigener Marke vermarktet.
  • Bevollmächtigter: Person, die ein Hersteller schriftlich beauftragt und die in seinem Namen bestimmte Aufgaben übernimmt.
  • Einführer: in der EU niedergelassene Person, die ein Produkt mit digitalen Elementen unter dem Namen beziehungsweise der Marke einer nicht in der EU niedergelassenen Person in der Union in Verkehr bringt.
  • Händler: Person, die ein Produkt mit digitalen Elementen ohne Änderungen auf dem Unionsmarkt bereitstellt, ohne Hersteller oder Einführer zu sein.

In den Anwendungsbereich fallen grundsätzlich alle Produkte mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Das betrifft Hard- und Software, einschließlich separat in Verkehr gebrachter Komponenten, sowie Lösungen zur Datenfernverarbeitung. Typische Beispiele sind vernetzte Haushaltsgeräte (Smart-Kühlschränke, Waschmaschinen, Saugroboter), Smartwatches, Smart-TVs oder Software wie Apps, aber auch Industriemaschinen, die heutzutage kaum noch ohne Softwarekomponenten auskommen.

Ausgenommen sind unter anderem Medizinprodukte und Fahrzeuge, die bereits eigenen EU-Regularien unterliegen, sowie Open-Source-Software, die ohne Gewinnerzielungsabsicht bereitgestellt wird.

Welche Kernanforderungen stellt der CRA?

Im Kern bündelt der CRA seine Anforderungen in fünf zentralen Themenfeldern:

  • Security by Design: Cybersicherheit muss schon in der Entwicklung mitgedacht werden. Dazu gehören zum Beispiel die Verschlüsselung gespeicherter oder übermittelter Daten und ein Design, das die Angriffsfläche möglichst klein hält.
  • Security by Default: Produkte sollen standardmäßig mit den sichersten Einstellungen ausgeliefert werden. Nutzer sollen ein hohes Sicherheitsniveau erreichen, ohne erst Konfigurationen nachziehen zu müssen – damit Sicherheit nicht nur von „Power-Usern“ abhängt.
  • Risikobewertung: Unternehmen müssen Sicherheitsrisiken rund um den Betrieb und die Nutzung des Produkts identifizieren, bewerten und reduzieren.
  • Schwachstellenmanagement: Hersteller müssen Schwachstellen systematisch identifizieren, dokumentieren und zeitnah beheben. Dazu gehört auch, eine öffentlich zugängliche Übersicht bekannter Schwachstellen zu führen, einen Kommunikationskanal bereitzustellen und erforderliche Sicherheitsupdates kostenlos über sichere Kanäle auszurollen. Nutzende sind über Schwachstellen, deren Auswirkungen und verfügbare Updates zu informieren. Für die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle an Behörden gelten enge Fristen.
  • Software Bill of Materials (SBOM): Sämtliche Softwarekomponenten müssen intern dokumentiert werden.

Herstellerpflichten

Viele dieser Kernanforderungen konkretisiert der CRA in den Herstellerpflichten. Da Hersteller der Produktentwicklung am nächsten stehen, treffen sie die umfangreichsten Pflichten – der CRA unterscheidet dabei zwischen Anforderungen vor und nach dem Inverkehrbringen.

Vor dem Inverkehrbringen müssen Hersteller eine Konformitätsbewertung durchführen. Der Nachweis erfolgt über die CE-Kennzeichnung. Anbringen dürfen sie das CE-Zeichen allerdings nur, wenn das Produkt sämtliche einschlägigen Cybersicherheitsanforderungen erfüllt.

Die Verordnung kennt verschiedene Konformitätsbewertungsverfahren (New-Legislative-Framework-(NLF)-Module):

  • Modul A: Selbstbewertung
  • Modul B + C: Baumusterprüfung durch eine notifizierte Stelle
  • Modul H: Prüfung des Qualitätsmanagementsystems durch eine notifizierte Stelle

Welches Verfahren dabei zum Einsatz kommt, richtet sich nach der Produktkategorie: Für Standardprodukte genügt in vielen Fällen eine Selbstbewertung.

Vor dem Inverkehrbringen müssen Hersteller eine Konformitätsbewertung durchführen.

Bei „wichtigen“ Produkten nach Anhang III des CRA steigen die Anforderungen – je nach Produkt kann eine Prüfung durch Dritte nötig sein. Für „kritische“ Produkte nach Anhang IV ist eine Zertifizierung nach dem EU-Zertifizierungsschema zwingend vorgeschrieben.

Darüber hinaus müssen Hersteller eine Risikobewertung durchführen und dokumentieren. Die Ergebnisse sind über den gesamten Produktlebenszyklus zu berücksichtigen. Außerdem sind technische Dokumentation, De-Anonymisierung und ein Identifikationskennzeichen für das Produkt erforderlich.

Nach dem Inverkehrbringen müssen Hersteller das Produkt über die erwartete Lebensdauer überwachen. Zudem müssen sie Schwachstellen und Sicherheitsvorfälle melden.

Nach dem Inverkehrbringen müssen Hersteller das Produkt über die erwartete Lebensdauer überwachen. Zudem müssen sie Schwachstellen und Sicherheitsvorfälle melden. Dafür sieht der CRA strenge Fristen vor: binnen 24 Stunden eine Frühwarnung und binnen 72 Stunden eine vollständige Meldung. Die Meldungen erfolgen über eine zentrale EU-Plattform.

Pflichten der anderen Akteure

Auch die weiteren Akteure in der Lieferkette stehen in der Pflicht. So tragen Einführer eine wesentliche Kontrollfunktion: Sie müssen prüfen, ob der Hersteller das Konformitätsverfahren ordnungsgemäß durchlaufen hat und ob technische Dokumentation, CE-Kennzeichnung sowie Konformitätserklärung vorliegen. Sind Mängel erkennbar, müssen sie Korrekturmaßnahmen einleiten.

Die zugehörige Dokumentation ist mindestens zehn Jahre lang aufzubewahren. Auf begründetes Verlangen müssen Einführer den Marktüberwachungsbehörden alle relevanten Informationen bereitstellen. Stellt der Hersteller seinen Betrieb ein, sind Einführer zudem verpflichtet, sowohl die Behörden als auch die Nutzenden darüber zu informieren.

Händler wiederum müssen vor dem Verkauf sicherstellen, dass das Produkt die CE-Kennzeichnung trägt und dass Hersteller sowie gegebenenfalls Einführer ihren Pflichten nachgekommen sind und alle erforderlichen Dokumente vorliegen. Bestehen Zweifel an der Konformität, darf das Produkt erst in den Handel gelangen, wenn diese ausgeräumt sind. Stellt sich nachträglich heraus, dass ein Produkt nicht konform ist, müssen Händler Korrekturmaßnahmen ergreifen und mit den Marktüberwachungsbehörden zusammenarbeiten.

Sanktionen

Bei Verstößen gegen den CRA drohen empfindliche Sanktionen. Wer Informationspflichten verletzt – etwa durch falsche, unvollständige oder irreführende Angaben gegenüber Behörden oder notifizierten Stellen –, riskiert Bußgelder von bis zu 5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes. Deutlich teurer wird es bei Verstößen gegen die zentralen CRA-Anforderungen,
etwa fehlende Sicherheitsmaßnahmen: Hier reicht der Bußgeldrahmen von 10 bis zu 15 Millionen Euro oder 2 bis 2,5 Prozent des weltweiten Jahresumsatzes. Bei der Bemessung berücksichtigen die Behörden die Umstände des Einzelfalls – insbesondere auch die Unternehmensgröße.

Neben Bußgeldern können die Behörden auch einen Produktrückruf anordnen. Betroffene Unternehmen müssen diesen koordinieren und den Kaufpreis erstatten. Zudem können Behörden öffentliche Warnungen zu bestimmten Produkten aussprechen.

Fazit

Auch wenn bis zur vollständigen Anwendung noch Zeit bleibt: Unternehmen sollten die CRA-Pflichten nicht nach hinten schieben. Es braucht interne Programme, klare Verantwortlichkeiten und belastbare Prozesse. Meldeinfrastruktur, Security by Design und by Default, technische Dokumentation und mögliche Zertifizierungen binden erhebliche Ressourcen. Wer zu spät startet, riskiert nicht nur empfindliche Sanktionen, sondern muss unter Zeitdruck nachrüsten. Deutlich effizienter ist es, die CRA-Anforderungen von Anfang an in Entwicklung, Einkauf und Produktpflege mitzudenken.

Porträt Dr. Jan Scharfenberg

Dr. Jan Scharfenberg, LL.M. (Stellenbosch) ist als Rechtsanwalt bei der Kanzlei Schürmann Rosenthal Dreyer im Bereich Datenschutz- und Informationssicherheitsrecht tätig. Zudem arbeitet er als Director für den Bereich Informationssicherheit bei der ISICO Datenschutz GmbH.

www.srd-rechtsanwaelte.de

Abgrenzung zu anderen EU-Regelungen

Der CRA steht nicht allein, sondern reiht sich in eine wachsende Zahl europäischer Regelwerke zur Cybersicherheit und zum Verbraucherschutz ein.

Die wichtigsten Abgrenzungen im Überblick:

CRA vs. NIS-2-Richtlinie

Beide Regelwerke zielen darauf ab, die Cyberresilienz in der EU zu stärken – setzen aber an unterschiedlichen Stellen an. Während der CRA konkrete Anforderungen an Produkte mit digitalen Elementen stellt und in erster Linie dem Schutz von Endverbrauchern und Unternehmen dient, richtet sich die NIS-2-Richtlinie an Unternehmen und deren organisatorische Cybersicherheit – branchenübergreifend und unabhängig von einzelnen Produkten.

Anders als der CRA, der als EU-Verordnung unmittelbar gilt, erfordert die NIS-2 ein nationales Umsetzungsgesetz. In Deutschland geschieht dies über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsCG), mit dem die europäischen Vorgaben in nationales Recht überführt werden.

CRA vs. CER-Richtlinie

Die CER-Richtlinie wurde zeitgleich mit der NIS-2-Richtlinie verabschiedet und konzentriert sich auf die physische Widerstandsfähigkeit kritischer Einrichtungen. Sie soll vor allem das Ausfallrisiko von Prozessen mindern und gibt dafür Pflichten zur Risikobewertung, Maßnahmenkataloge und Meldepflichten vor. Die betroffenen Wirtschaftszweige überschneiden sich teilweise mit denen der NIS-2-Richtlinie. Der CRA hingegen adressiert nicht die physische Infrastruktur, sondern die digitale Sicherheit von Produkten.

CRA vs. Digitale-Inhalte-Richtlinie und Warenkauf-Richtlinie

Auch diese beiden Richtlinien schützen Verbraucher – allerdings auf vertragsrechtlicher Ebene. Sie greifen nur, wenn ein Verbrauchervertrag über den entgeltlichen Erwerb digitaler Inhalte oder Dienstleistungen vorliegt. Der CRA hingegen knüpft seine Pflichten an das Inverkehrbringen eines Produkts, unabhängig davon, ob ein konkreter Verbrauchervertrag besteht.

Inhaltliche Überschneidungen gibt es dennoch:  Sowohl die beiden Richtlinien als auch der CRA sehen etwa eine Aktualisierungspflicht für betroffene Produkte vor.

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

Lupe über Netzwerkverbindungen

KI-Agent übertrifft neun von zehn Sicherheitsprofis beim Penetrationstest

Forscher haben erstmals KI-Agenten gegen menschliche Pentester in einem echten Unternehmensnetzwerk antreten lassen. Das Ergebnis: Ihr System ARTEMIS fand mehr kritische Schwachste...

Cybersecurity
Junge Frau aus dem medizinischen Bereich lehnt an einer Tafel mit medizinischem Background und mit Tablet unter dem Arm

Patientendaten auf unsicheren Wegen

Die Digitalisierung des Gesundheitswesens ermöglicht eine effizientere Patientenversorgung durch nahtlose Kommunikation zwischen verschiedenen Akteuren der Behandlungs- und Versorg...

KRITIS
Ampel vor gelbem Hintergrund

Browser-Erweiterung macht Webtracking sichtbar

Cookie-Banner bitten um Zustimmung zu etwas, das sie nicht verständlich erklären. Adblocker blockieren Tracker, machen aber selten transparent, was genau im Hintergrund geschieht. ...

Security Management